Facebook corrige error para cuidar la privacidad de sus usuarios

Ciudad de México, 14-11-2018 |

Los datos del usuario que accedía a la función de búsqueda de Facebook quedaban expuestos debido a un CSRF

Impervaes una compañía de servicios y software de seguridad cibernética dedicada a brindar protección a datos empresariales y aplicaciones.Uno de sus investigadores descubrió que al realizar una búsqueda en Facebook, los datos del usuario que accedía a esta función de la red social no se encontraban protegidos adecuadamente ante los ataques de falsificación de solicitudes entre sitios, CSRF por sus siglas en inglés Cross-Site Request Forgery.

El Cross-Site Request Forgery es una cadena de comandos utilizada con el objetivo de aprovechar vulnerabilidades de seguridad en un sistema de información para conseguir acceso de forma no autorizada o la toma de control de un sistema de cómputo. Estas vulnerabilidades en cómputo también se conocen como XSRF, ataque de un clic, enlace hostil, cabalgamiento de sesión o ataque automático.

Ron Masases el investigador de Imperva que mostró cómo un sitio que actúa con malicia puede insertar un IFRAME (utilizado para anidar una página web dentro de otra página web) y recopila información de un perfil silenciosamente.

"Esto permite que la información cruzara dominios, es decir, si un usuario visitar un sitio WEB en particular, un atacante externo puede abrir Facebook y recopilar información sobre el usuario y sus amigos." Dijo Ron Masas.

Este sitio, mal intencionadamente podría abrir varias consultas de búsqueda en Facebook en una pestaña nueva y ejecutar consultas que podrían responder "sí" o "no", por ejemplo si a un usuario de Facebook le gusta una página. Masas dijo que las consultas de búsqueda podrían arrojar resultados más complejos como devolver a todos los amigos de un usuario con un nombre en particular, las publicaciones de un usuario con ciertas palabras clave y aún más datos demográficos personales como a todos los amigos de una persona con ciertos intereses, nombre o ciudad.

Masas también aseguró que este tipo de datos puede ser muy atractivo para las empresas publicitarias y que no se trataba de un problema exclusivo de Facebook y tampoco se trataba de un secreto.

La compañía para la que trabaja Ron Masas, Imperva, reveló en privado el error de Facebook en Mayo de 2018, la red social solucionó esto dos días después agregando protecciones para CSRF. En este sentido, la vocera de la compañía, Margarita Zolotova dijo en un comunicado a TechCrunch, "Dado que el comportamiento subyacente no es específico de Facebook, hemos hecho recomendaciones a los fabricantes de navegadores y grupos de estándares web relevantes para alentarlos a tomar medidas para evitar que este tipo de problema ocurra en otras aplicaciones web".

Después del escándalo de Cambridge Analytica a inicios de 2018, en el que una firma de datos políticos arrasa con la información de 87 millones de perfiles para utilizarlos en la elaboración de perfiles de elecciones, incluidos sus "me gusta" e intereses, esto es lo último que han puesto en riesgo los datos de usuarios de Facebook.

Así es como Ron Masas demostró el infortunado problema al que se enfrenta Facebook cuando sus usuarios realizan alguna búsqueda, no es exclusivo de esta red social, sin embargo es un error que ha costado a Facebook alrededor de 8,000 mil dólares en dos recompensas de errores separadas, corrigiendo así uno de los errores más comunes de este sitio.